FL MGUARD 4000シリーズ　ユーザファイアウォール機能

2025年7月15日

フエニックス・コンタクトは、サイバーセキュリティ国際規格 IEC 62443-4-2 (SL-C 2) 認証を取得した産業用セキュリティルータ FL MGUARD 2000/4000 シリーズをご提供しています。産業用途のセキュリティ機器として、実績のある多彩な機能を搭載しています。サイバーセキュリティ国際規格 IEC 62443 では、サイバーセキュリティ基本要件（FR：Fundamental Requirement）として以下の７つの項目を求めています。

サイバーセキュリティ基本要件（FR）
- FR1：作業者の識別・認証
- FR2：使用制限（必要な権限のみ与える、否認防止）
- FR3：システムの完全性（データ改ざん防止）
- FR4：データの機密性（必要なデータの暗号化）
- FR5：データフローの制限（必要なところだけに送信）
- FR6：セキュリティ侵害等への迅速な対応、是正処置
- FR7：リソースの可用性（サイバー攻撃に対し通信帯域を制限）

ここでは、FR1、FR2 に対応した、ユーザファイアウォール機能によるユーザアカウント制御（UAC：User Acount Control）ついて説明します。

※ ユーザファイアウォール機能は、FL MGUARD 4000 シリーズのみ対応しています。

ユーザアカウント制御の必要性

背景

工場ネットワークには、「工場監視制御システム」、「制御装置（PLC 等）」、「PC（タッチパネル、データ収集サーバ）等」の機器が接続され、各機器は担当者によって操作、管理されています。ネットワークセキュリティの高度化の要求に伴って、工場ネットワーク内で「セキュア」に作業することが求められています。

しかし、一般的なネットワーク環境にある工場ネットワークでは、担当者が一旦工場ネットワークにログインすると、担当以外の機器に対しても操作できる可能性があります。

このようなネットワーク環境では、サイバー攻撃で工場ネットワーク内にランサムウェア感染が発生すると、プログラムやデータの改ざんや、データの暗号化などの被害が多くの機器に及び、その復旧のため多額の支払いを要求されたり、通常の業務運営ができなくり、その復旧に多大な時間がかかる可能性があります。

IEC 62443 のユーザ識別、認証、アクセス制御の要求

産業オートメーション及び制御システム（IACS：Industrial Automation and Control Systems）の安全性、信頼性、整合性、およびセキュリティを向上させることを目的として、国際規格として IEC 62443 が制定されました。

この中で、ネットワークへのアクセス（ユーザ識別、認証、アクセス制御）に関する項目として、IEC 62443-2-4 Security Program（セキュリティプログラム）SP.09 および IEC 62443-3-3、IEC 62443-4-2 Fundamental Requirement（サイバーセキュリティ基本要件）FR 1、FR 2 が規定されています。

ユーザ識別、認証、アクセス制御の考え方

IEC 62443 のユーザ識別、認証、アクセス制御に対応するには、認証、認可の機能が必要です。

認証：　ネットワークへの参加
- すべてのユーザを個別に識別、アクセス許可
- 統一されたユーザアカウントの管理
認可：　ユーザ毎のネットワーク内のアクセス制御
- ユーザの役割（Role）に応じたネットワーク内のアクセス認可
- すべてのユーザに対する適用

この実現方法として、フエニックス・コンタクトの産業用セキュリティルータ FL MGUARD 4000 で次の方法をご提案します。

まずネットワークにアクセスするユーザの役割（Role）を定義して、この役割に応じてアクセスが可能な機器を割り付けます。具体的に、次のような役割とアクセス可能な機器を割り付けた例を示します。

ネットワーク機器管理者（Network）：　ネットワークデバイス（IPアドレス）
PLCエンジニア（PLC）：　PLC、タッチパネル（IPアドレス）
ネットワーク全体管理者（Admin）：　すべての機器（IPアドレス）

さらに、ユーザ（ユーザＩＤ）に役割を割り付けます。

Nils：　ネットワーク機器管理者
Anders：　PLCエンジニア
Rickard：　ネットワーク全体管理者

最後に、ネットワークへのログイン時はユーザＩＤ、パスワードで識別、認証します。この時、ユーザＩＤ、パスワードは、 FL MGUARD 4000 が持つローカルデータベース、または外部の RADIUS サーバのデータベースで管理し、ログインがあった時にユーザ識別、認証をします。

実運用時には、ユーザはネットワークログイン時に、ユーザＩＤ、パスワードで識別、認証のプロセスを経て、さらに役割（Role）に応じたアクセス制御（UAC）によって、ユーザに割り付けられたデバイス（設備、機器）にアクセスできるようになります。

ユーザファイアウォール機能（FL MGUARD 4000シリーズ）

機能効果

フエニックス・コンタクトの産業用セキュリティルータ FL MGUARD 4000 のユーザファイアウォール機能を利用したユーザアカウント制御（UAC）によって、次のメリットが得られます。

複雑さの低減：　ユーザに役割を与える設定
簡単な役割設定：　ロールからユーザ削除、ユーザのブロック、ユーザの役割変更、複数の役割設定
効果：　シンプル、スケーラブル、セキュア

設定方法

FL MGUARD のユーザファイアウォール機能は、次の２つを設定します。

ユーザ定義
ユーザファイアウォールの定義

ユーザ定義

ユーザファイアウォールに設定するユーザを定義します。

FL MGUARD の左メニューで、Authentication > Firewall Users に移行し、「Enable user Firewall」にチェックを入れます。これによって、FL MGUARD のログイン画面に、ユーザファイアウォールの選択画面が表示されるようになります。

次に、ユーザを設定します。「Seq.」の右の「＋」をクリックするとユーザ定義行が１行追加されます。設定項目は次の通りです。

User name：ユーザ名
Authentication method：認証方法（RADIUS（デフォルト）、Local DB）
User password：パスワード（認証方法で Local DB を選択した場合）

ユーザファイアウォール定義

次に、ユーザファイアウォールを定義します。

FL MGUARD の左メニューで、Network Security > User Firewall に移行し、「Seq.」の右の「＋」をクリックします。すると、ユーザファイアウォールのテンプレート行が１行追加されます。ここで、テンプレート名（A descryptive name）を入力します。さらに詳細設定をするため、✎ マークをクリックします。

すると、General・Template Users・Filrewall Rules の３つのタブが表示されます。

始めに、General で以下の項目を定義します。

A desriptive name：　ユーザファイアウォールのテンプレート名（入力済み）
Enabled：　有効チェック
Comment：　ファイアウォールのコメント
Timeout：　ユーザファイアウォールの制限時間
Timeout type：　Static（静的）、Dynamic（動的）を選択
VPN connection：　VPN接続の有無を設定

次に、「Template Users」タブに移り、「Seq.」の右の「＋」をクリックします。すると、ユーザ定義行が１行追加されます。ここで、このユーザファイアウォールに関連するユーザを設定します。

最後に、「Filrewall Rules」タブに移り、「Seq.」の右の「＋」をクリックします。すると、ファイアウォール定義行が１行追加されます。ここで、このユーザファイアウォールで以下の項目を定義します。

Protocol：　通信プロトコル（All, TCP, UDP, ICMP, GRE）
From port：　接続元のポート番号
to IP：　接続先 IPアドレス
To port：　接続先のポート番号
Comment：　ファイアウォールルールのコメント
Log：　ファイアウォールルールが実行された時のログ保存の有無

使用方法

FL MGUARD のユーザファイアウォールの使用方法は、次の通りです。

ユーザファイアウォールを設定した FL MGUARD に、PC のブラウザからアクセスします。すると、ログイン画面が表示されます。ここで、あらかじめ設定したユーザID、パスワードを入力し、最後に「Access Type」で「User Firewall」を選択して「Login」ボタンをクリックします。すると、FL MGUARD にログインしたことを示すメッセージが表示されます。その後、ユーザに割り付けたデバイスだけにアクセス可能となります。